วิธีทำความเข้าใจผู้ที่สับสนในการอนุญาตไฟล์ / แชร์ Windows 7

เนื้อหาที่ไม่ถูกแคช

คุณเคยพยายามหาสิทธิ์ทั้งหมดใน Windows หรือไม่? มีสิทธิ์แชร์สิทธิ์ NTFS รายการควบคุมการเข้าถึงและอื่น ๆ นี่คือวิธีการทำงานร่วมกัน

ตัวระบุความปลอดภัย

ระบบปฏิบัติการ Windows ใช้ SID เพื่อแสดงหลักการรักษาความปลอดภัยทั้งหมด SID เป็นเพียงสตริงความยาวตัวแปรของอักขระตัวเลขและตัวอักษรที่แสดงถึงเครื่องจักรผู้ใช้และกลุ่ม SIDs จะถูกเพิ่มลงใน ACL (Access Control Lists) ทุกครั้งที่คุณให้สิทธิ์ผู้ใช้หรือกลุ่มในไฟล์หรือโฟลเดอร์ เบื้องหลังฉาก SIDs จะถูกจัดเก็บในลักษณะเดียวกับออบเจ็กต์ข้อมูลอื่น ๆ ทั้งหมดในรูปแบบไบนารี อย่างไรก็ตามเมื่อคุณเห็น SID ใน Windows จะแสดงโดยใช้ไวยากรณ์ที่อ่านได้มากขึ้น ไม่บ่อยนักที่คุณจะเห็น SID ในรูปแบบใด ๆ ใน Windows สถานการณ์ที่พบบ่อยที่สุดคือเมื่อคุณให้สิทธิ์บุคคลอื่นในทรัพยากรจากนั้นบัญชีผู้ใช้ของพวกเขาจะถูกลบออกจากนั้นจะแสดงเป็น SID ใน ACL ลองมาดูรูปแบบทั่วไปที่คุณจะเห็น SID ใน Windows

สัญกรณ์ที่คุณจะเห็นใช้ไวยากรณ์บางประการด้านล่างนี้คือส่วนต่างๆของ SID ในสัญกรณ์นี้

1. คำนำหน้า "S"
2. หมายเลขการแก้ไขโครงสร้าง
3. ค่าสิทธิของตัวระบุ 48 บิต
4. จำนวนตัวแปรของค่าสิทธิย่อย 32 บิตหรือค่าตัวระบุญาติ (RID)

การใช้ SID ของฉันในภาพด้านล่างเราจะแยกส่วนต่างๆเพื่อให้เข้าใจได้ดีขึ้น

โครงสร้าง SID:

"S" - องค์ประกอบแรกของ SID คือ "S" เสมอ นี่คือคำนำหน้าสำหรับ SID ทั้งหมดและเพื่อแจ้งให้ Windows ทราบว่าสิ่งที่ตามมาคือ SID
‘1’ - องค์ประกอบที่สองของ SID คือหมายเลขการแก้ไขของข้อกำหนด SID หากมีการเปลี่ยนแปลงข้อกำหนด SID จะทำให้เข้ากันได้ย้อนหลัง สำหรับ Windows 7 และ Server 2008 R2 ข้อกำหนด SID ยังอยู่ในการแก้ไขครั้งแรก
‘5’ - ส่วนที่สามของ SID เรียกว่า Identifier Authority สิ่งนี้กำหนดขอบเขตที่ SID ถูกสร้างขึ้น ค่าที่เป็นไปได้สำหรับส่วนนี้ของ SID อาจเป็น:

1. 0 - อำนาจว่าง
2. 1 - ผู้มีอำนาจระดับโลก
3. 2 - หน่วยงานท้องถิ่น
4. 3 - ผู้สร้างอำนาจ
5. 4 - อำนาจที่ไม่ซ้ำกัน
6. 5 - หน่วยงาน NT

’21’ - องค์ประกอบที่สี่คือหน่วยงานย่อย 1 ค่า "21" ถูกใช้ในฟิลด์ที่สี่เพื่อระบุว่าหน่วยงานย่อยที่ติดตามระบุ Local Machine หรือโดเมน
‘1206375286-251249764-2214032401’ - สิ่งเหล่านี้เรียกว่าหน่วยงานย่อย 2,3 และ 4 ตามลำดับ ในตัวอย่างของเราสิ่งนี้ใช้เพื่อระบุเครื่องในระบบ แต่อาจเป็นตัวระบุโดเมนก็ได้
‘1000’ - Sub-authority 5 เป็นส่วนประกอบสุดท้ายใน SID ของเราและเรียกว่า RID (Relative Identifier) ​​RID นั้นสัมพันธ์กับหลักการรักษาความปลอดภัยแต่ละตัวโปรดทราบว่าอ็อบเจ็กต์ที่ผู้ใช้กำหนดเองอ็อบเจ็กต์ที่ Microsoft ไม่ได้จัดส่งจะมี RID ตั้งแต่ 1,000 ขึ้นไป

หลักการรักษาความปลอดภัย

หลักด้านความปลอดภัยคืออะไรก็ได้ที่มี SID ติดอยู่ซึ่งอาจเป็นผู้ใช้คอมพิวเตอร์และแม้แต่กลุ่ม หลักการรักษาความปลอดภัยสามารถเป็นแบบโลคัลหรืออยู่ในบริบทโดเมน คุณจัดการหลักการรักษาความปลอดภัยภายในผ่านสแน็ปอินผู้ใช้ภายในและกลุ่มภายใต้การจัดการคอมพิวเตอร์ หากต้องการไปที่นั่นให้คลิกขวาที่ทางลัดของคอมพิวเตอร์ในเมนูเริ่มแล้วเลือกจัดการ

ในการเพิ่มหลักการรักษาความปลอดภัยของผู้ใช้ใหม่คุณสามารถไปที่โฟลเดอร์ผู้ใช้แล้วคลิกขวาและเลือกผู้ใช้ใหม่

หากคุณดับเบิลคลิกที่ผู้ใช้คุณสามารถเพิ่มพวกเขาในกลุ่มความปลอดภัยบนแท็บสมาชิกของ

ในการสร้างกลุ่มความปลอดภัยใหม่ให้ไปที่โฟลเดอร์ Groups ทางด้านขวามือ คลิกขวาที่ช่องว่างและเลือกกลุ่มใหม่

แบ่งปันสิทธิ์และสิทธิ์ NTFS

ใน Windows มีสิทธิ์ไฟล์และโฟลเดอร์สองประเภทประการแรกมีสิทธิ์แชร์และประการที่สองมีสิทธิ์ NTFS หรือที่เรียกว่าสิทธิ์ความปลอดภัย โปรดทราบว่าเมื่อคุณแชร์โฟลเดอร์โดยค่าเริ่มต้นกลุ่ม“ ทุกคน” จะได้รับสิทธิ์ในการอ่าน โดยปกติการรักษาความปลอดภัยบนโฟลเดอร์จะทำได้โดยใช้การแชร์และสิทธิ์ NTFS ร่วมกันหากเป็นกรณีนี้จำเป็นต้องจำไว้ว่าข้อ จำกัด ที่สุดจะมีผลเสมอเช่นหากสิทธิ์การแชร์ถูกตั้งค่าเป็นทุกคน = อ่าน (ซึ่งเป็นค่าเริ่มต้น) แต่การอนุญาต NTFS อนุญาตให้ผู้ใช้ทำการเปลี่ยนแปลงไฟล์การอนุญาตการแชร์จะใช้การกำหนดลักษณะและผู้ใช้จะไม่ได้รับอนุญาตให้ทำการเปลี่ยนแปลง เมื่อคุณตั้งค่าสิทธิ์ LSASS (Local Security Authority) จะควบคุมการเข้าถึงทรัพยากร เมื่อคุณเข้าสู่ระบบคุณจะได้รับโทเค็นการเข้าถึงที่มี SID ของคุณอยู่เมื่อคุณไปที่เข้าถึงทรัพยากร LSASS จะเปรียบเทียบ SID ที่คุณเพิ่มลงใน ACL (รายการควบคุมการเข้าถึง) และหาก SID อยู่บน ACL จะเป็นตัวกำหนดว่าจะ อนุญาตหรือปฏิเสธการเข้าถึง ไม่ว่าคุณจะใช้สิทธิ์ใดก็มีความแตกต่างกันดังนั้นลองมาดูเพื่อทำความเข้าใจให้ดีขึ้นว่าเราควรใช้อะไร

แบ่งปันสิทธิ์:

1. ใช้กับผู้ใช้ที่เข้าถึงทรัพยากรผ่านเครือข่ายเท่านั้น ใช้ไม่ได้หากคุณเข้าสู่ระบบภายในเครื่องเช่นผ่านบริการเทอร์มินัล
2. ใช้กับไฟล์และโฟลเดอร์ทั้งหมดในทรัพยากรที่แชร์ หากคุณต้องการจัดเตรียมรูปแบบการ จำกัด ที่ละเอียดยิ่งขึ้นคุณควรใช้สิทธิ์ NTFS นอกเหนือจากสิทธิ์ที่ใช้ร่วมกัน
3. หากคุณมีไดรฟ์ข้อมูลที่จัดรูปแบบ FAT หรือ FAT32 นี่จะเป็นข้อ จำกัด รูปแบบเดียวที่มีให้สำหรับคุณเนื่องจากสิทธิ์ NTFS ไม่สามารถใช้ได้ในระบบไฟล์เหล่านั้น

สิทธิ์ NTFS:

1. ข้อ จำกัด เพียงประการเดียวของสิทธิ์ NTFS คือสามารถตั้งค่าได้เฉพาะในไดรฟ์ข้อมูลที่จัดรูปแบบเป็นระบบไฟล์ NTFS
2. โปรดจำไว้ว่า NTFS เป็นแบบสะสมซึ่งหมายความว่าการอนุญาตที่มีประสิทธิภาพของผู้ใช้เป็นผลมาจากการรวมสิทธิ์ที่กำหนดของผู้ใช้และสิทธิ์ของกลุ่มใด ๆ ที่ผู้ใช้อยู่

สิทธิ์การแบ่งปันใหม่

Windows 7 ซื้อมาพร้อมกับเทคนิคการแชร์แบบใหม่ที่“ ง่าย” ตัวเลือกเปลี่ยนจากอ่านเปลี่ยนแปลงและควบคุมทั้งหมดเป็น อ่านและอ่าน / เขียน แนวคิดนี้เป็นส่วนหนึ่งของความคิดของกลุ่ม Home ทั้งหมดและช่วยให้แชร์โฟลเดอร์สำหรับผู้ที่ไม่ได้ใช้คอมพิวเตอร์ได้อย่างง่ายดาย ทำได้ผ่านเมนูบริบทและแชร์กับกลุ่มบ้านของคุณได้อย่างง่ายดาย

หากคุณต้องการแบ่งปันกับคนที่ไม่ได้อยู่ในกลุ่มบ้านคุณสามารถเลือกตัวเลือก "เฉพาะคน ... " ได้ตลอดเวลา ซึ่งจะทำให้กล่องโต้ตอบ "ซับซ้อน" ขึ้น ที่คุณสามารถระบุผู้ใช้หรือกลุ่มเฉพาะ

มีเพียงสองสิทธิ์ตามที่กล่าวไว้ก่อนหน้านี้พวกเขาเสนอรูปแบบการป้องกันทั้งหมดหรือทั้งหมดสำหรับโฟลเดอร์และไฟล์ของคุณ

1. อ่าน สิทธิ์คือตัวเลือก“ มองอย่าแตะต้อง” ผู้รับสามารถเปิดได้ แต่แก้ไขหรือลบไฟล์ไม่ได้
2. อ่านเขียน คือตัวเลือก“ ทำอะไรก็ได้” ผู้รับสามารถเปิดแก้ไขหรือลบไฟล์ได้

ทางโรงเรียนเก่า

กล่องโต้ตอบการแชร์แบบเก่ามีตัวเลือกมากขึ้นและทำให้เรามีตัวเลือกในการแชร์โฟลเดอร์ภายใต้นามแฝงอื่นทำให้เราสามารถ จำกัด จำนวนการเชื่อมต่อพร้อมกันรวมถึงกำหนดค่าแคชได้ ฟังก์ชันนี้จะไม่สูญหายไปใน Windows 7 แต่จะซ่อนอยู่ภายใต้ตัวเลือกที่เรียกว่า“ Advanced Sharing” หากคุณคลิกขวาที่โฟลเดอร์และไปที่คุณสมบัติคุณจะพบการตั้งค่า "การแชร์ขั้นสูง" เหล่านี้ในแท็บการแชร์

หากคุณคลิกที่ปุ่ม“ การแบ่งปันขั้นสูง” ซึ่งต้องใช้ข้อมูลประจำตัวของผู้ดูแลระบบภายในคุณสามารถกำหนดการตั้งค่าทั้งหมดที่คุณคุ้นเคยใน Windows เวอร์ชันก่อนหน้า

หากคุณคลิกที่ปุ่มสิทธิ์คุณจะพบกับการตั้งค่า 3 อย่างที่เราทุกคนคุ้นเคย

1. อ่าน อนุญาตให้คุณดูและเปิดไฟล์และไดเร็กทอรีย่อยตลอดจนเรียกใช้แอพพลิเคชั่น อย่างไรก็ตามไม่อนุญาตให้ทำการเปลี่ยนแปลงใด ๆ
2. ปรับเปลี่ยน อนุญาตให้คุณทำอะไรก็ได้ อ่าน อนุญาตให้เพิ่มความสามารถในการเพิ่มไฟล์และไดเรกทอรีย่อยลบโฟลเดอร์ย่อยและเปลี่ยนแปลงข้อมูลในไฟล์
3. ควบคุมทั้งหมด คือ "ทำอะไรก็ได้" ของสิทธิ์แบบคลาสสิกเนื่องจากอนุญาตให้คุณดำเนินการใด ๆ และทั้งหมดของสิทธิ์ก่อนหน้านี้ นอกจากนี้ยังให้สิทธิ์ NTFS ที่เปลี่ยนแปลงขั้นสูงแก่คุณซึ่งจะใช้กับโฟลเดอร์ NTFS เท่านั้น

สิทธิ์ NTFS

สิทธิ์ NTFS ช่วยให้สามารถควบคุมไฟล์และโฟลเดอร์ของคุณได้อย่างละเอียดมาก ด้วยเหตุนี้จำนวนของรายละเอียดอาจเป็นเรื่องที่น่ากลัวสำหรับผู้มาใหม่ คุณยังสามารถตั้งค่าสิทธิ์ NTFS เป็นรายไฟล์และแบบต่อโฟลเดอร์ ในการตั้งค่าสิทธิ์ NTFS ให้กับไฟล์คุณควรคลิกขวาและไปที่คุณสมบัติของไฟล์ที่คุณจะต้องไปที่แท็บความปลอดภัย

หากต้องการแก้ไขสิทธิ์ NTFS สำหรับผู้ใช้หรือกลุ่มให้คลิกที่ปุ่มแก้ไข

อย่างที่คุณเห็นมีสิทธิ์ NTFS ค่อนข้างมากดังนั้นให้แยกย่อยออกไป ขั้นแรกเราจะดูสิทธิ์ NTFS ที่คุณสามารถตั้งค่าในไฟล์ได้

1. ควบคุมทั้งหมด ช่วยให้คุณสามารถอ่านเขียนแก้ไขดำเนินการเปลี่ยนแอตทริบิวต์สิทธิ์และเป็นเจ้าของไฟล์
2. ปรับเปลี่ยน ช่วยให้คุณอ่านเขียนแก้ไขดำเนินการและเปลี่ยนแอตทริบิวต์ของไฟล์ได้
3. อ่านและดำเนินการ จะช่วยให้คุณสามารถแสดงข้อมูลแอตทริบิวต์เจ้าของและสิทธิ์ของไฟล์และเรียกใช้ไฟล์หากเป็นโปรแกรม
4. อ่าน จะช่วยให้คุณสามารถเปิดไฟล์ดูคุณสมบัติเจ้าของและสิทธิ์
5. เขียน จะช่วยให้คุณสามารถเขียนข้อมูลลงในไฟล์ต่อท้ายไฟล์และอ่านหรือเปลี่ยนแอตทริบิวต์

สิทธิ์ NTFS สำหรับโฟลเดอร์มีตัวเลือกที่แตกต่างกันเล็กน้อยดังนั้นลองมาดูกัน

1. ควบคุมทั้งหมด ช่วยให้คุณอ่านเขียนแก้ไขและเรียกใช้ไฟล์ในโฟลเดอร์เปลี่ยนแอตทริบิวต์สิทธิ์และเป็นเจ้าของโฟลเดอร์หรือไฟล์ภายใน
2. ปรับเปลี่ยน อนุญาตให้คุณอ่านเขียนแก้ไขและเรียกใช้ไฟล์ในโฟลเดอร์และเปลี่ยนแอตทริบิวต์ของโฟลเดอร์หรือไฟล์ภายใน
3. อ่านและดำเนินการ จะช่วยให้คุณสามารถแสดงเนื้อหาของโฟลเดอร์และแสดงข้อมูลแอตทริบิวต์เจ้าของและสิทธิ์สำหรับไฟล์ภายในโฟลเดอร์และเรียกใช้ไฟล์ภายในโฟลเดอร์
4. รายการเนื้อหาของโฟลเดอร์ จะช่วยให้คุณสามารถแสดงเนื้อหาของโฟลเดอร์และแสดงข้อมูลแอตทริบิวต์เจ้าของและสิทธิ์สำหรับไฟล์ภายในโฟลเดอร์
5. อ่าน จะช่วยให้คุณสามารถแสดงข้อมูลแอตทริบิวต์เจ้าของและสิทธิ์ของไฟล์
6. เขียน จะช่วยให้คุณสามารถเขียนข้อมูลลงในไฟล์ต่อท้ายไฟล์และอ่านหรือเปลี่ยนแอตทริบิวต์

เอกสารของ Microsoft นอกจากนี้ยังระบุว่า“ List Folder Contents” จะช่วยให้คุณสามารถเรียกใช้ไฟล์ภายในโฟลเดอร์ได้ แต่คุณจะต้องเปิดใช้งาน“ Read & Execute” เพื่อที่จะทำเช่นนั้น เป็นการอนุญาตในเอกสารที่สับสนมาก

สรุป

โดยสรุปชื่อผู้ใช้และกลุ่มเป็นตัวแทนของสตริงตัวอักษรและตัวเลขที่เรียกว่า SID (Security Identifier) ​​สิทธิ์แชร์และ NTFS จะเชื่อมโยงกับ SID เหล่านี้ สิทธิ์การแชร์จะถูกตรวจสอบโดย LSSAS เฉพาะเมื่อมีการเข้าถึงผ่านเครือข่ายในขณะที่สิทธิ์ NTFS ใช้ได้เฉพาะในเครื่องภายในเท่านั้น ฉันหวังว่าคุณทุกคนจะมีความเข้าใจอย่างถูกต้องเกี่ยวกับการใช้งานความปลอดภัยของไฟล์และโฟลเดอร์ใน Windows 7 หากคุณมีคำถามใด ๆ อย่าลังเลที่จะปิดเสียงในความคิดเห็น